4706 ドメインへの新しい信頼の作成
ドメインへの新しい信頼関係が作成されたときに記録される。信頼はドメイン/フォレスト間の認証受け入れ経路であり、不正な信頼の追加は攻撃の足場になりうる。
概要
サブカテゴリは Audit Authentication Policy Change。ドメインコントローラ上でのみ生成される。新たな信頼(trust: 別ドメイン/フォレストの認証を受け入れる関係)が設定されると記録され、信頼の種類や方向、SID フィルタリングの状態などが含まれる。
発生契機・方法
- 管理者やツールによるドメイン/フォレスト信頼の新規作成。
- ドメインコントローラで発生する。
セキュリティ上の確認事項
- 信頼の新規作成は重大な構成変更であり、計画外であれば必ず調査する。攻撃者が悪性ドメインへの信頼を追加すれば、外部からの認証受け入れ経路を作れる。
- SID フィルタリングの状態に注目する。フィルタリングが無効な信頼は、
SID Historyを悪用した信頼越えの権限昇格を許す危険がある。 - 信頼の改変 4716・削除 4707 と併せ、信頼関係の変遷を追う。
ログレビュー時の注意観点
- 本来まれな操作。1 件でも出たら、計画された変更かを確認する高優先イベントとして扱う。
- 信頼の方向(一方向/双方向)・種類(外部/フォレスト)・SID フィルタリング設定を記録し、セキュリティ要件と照合する。
主なフィールド
| フィールド | 意味 |
|---|---|
Domain Name | 信頼先のドメイン |
Trust Direction / Trust Type | 信頼の方向と種類 |
SID Filtering | SID フィルタリングの有効/無効 |
Subject\Account Name | 信頼を作成したアカウント |
用語メモ
- 信頼 (trust) — あるドメインが別のドメイン/フォレストの認証を受け入れる関係。範囲が広いほど攻撃経路になりやすい。